El servidor en cuestión pertenece a Freedom Hosting y aparentemente brinda servicios a más de 40 sitios de pornografía infantil, siendo el más grande uno llamado Lolita City, que se reportó que contendría más de 100GB de material porno de menores.

Anonymous documentó y publicó su “investigación” en dos posts donde dan cuenta del orden de los eventos y las metodologías utilizadas para el seguimiento y ataque contra los servidores. Ahí explican que primero dieron con Lolita City y en otro frente interceptaron la Hidden Wiki que contiene links a más pornografía infantil y junto con trabajar para suprimirla, comenzaron a seguirle los pasos a dichos enlaces. La investigación llevó a los hackers a darse cuenta de que muchos de los sitios compartían una “huella” similar, derivada del apoyo y almacenaje de la compañía Freedom Hosting.

Con estos datos en mano, el grupo emitió un ultimátum hacia la empresa para que quitara el contenido o sería derribado por sus ataques. Freedom Hosting se negó y posterior a eso Anonymous inició su ataque.

Si bien las posturas frente a los ataques de grupos hackers, la arremetida contra este tipo de sitios sí cuenta con la aprobación de la población general. Es de esperar que la ley tome el caso a partir de aquí y realice los arrestos correspondientes, ojalá con el foco en los personajes detrás del material pornográfico.

¿Qué les parece este nuevo giro de Anonymous?

Link: Anonymous Takes Down Massive Child Pornography Server, Leaks Usernames (Geekosystem)

“#OpIndependencia” es el nombre que Anonymous dio a una operación para atacar vía DDoS a múltiples sitios del gobierno mexicano durante ayer, incluyendo las páginas del Ministerio de Defensa y Seguridad Pública.

Anonymous se refirió en un video al narcotráfico, la violencia y las muertes que han ocurrido en el país, llamando al gobierno y los partidos políticos a tomar acciones al respecto. “El momento ha llegado para ti gobierno, es la hora que des la cara por tu país”, dice el comunicado.

Los ataques se dan en medio de la celebración de la independencia de México, que se conmemora hoy. Es difícil medir el efecto que pueda tener una campaña de ataques a sitios web como ésta, que en sí misma no ayuda a resolver la situación, sino más bien se plantea como un medio más de manifestar descontento.

Link: AnonOpsHispano

El panel de analistas expositores

Antes de entrar de lleno a la información y consideraciones de los expertos en seguridad en internet de la Cumbre Iberoamericana de Analistas de Kaspersky Lab 2011, como en nuestras firmas no está considerado que diga “enviado especial a…”, me tomo justicia con mis propias manos para refregarles que escribo estas líneas desde una hamaca, de guata al sol, en Cancún. Ahhh.

Dicho esto y dejando un rato de lado esas cosas del all inclusive, nos pusimos serios y quedamos de una pieza al ver las cifras de crecimiento y masificación de los malwares en América Latina (más la Península Ibérica). Peor aún al enterarnos de que a pesar del incansable esfuerzo de compañías como Kaspersky Lab, dentro del próximo lustro el panorama podría ponerse bastante más feo, cuando los ataques cibernéticos comiencen a producirse entre los propios gobiernos de la región. ¿Conflictos bilaterales por robo de información de inteligencia, digamos, para el 2015? Así es. Así de opaco es el augurio.

Vamos viendo.

Para Dmitry Bestuzhev, director global de investigación y análisis de Kaspersky Lab para América Latina, el crimen cibernético está logrando un grado de penetración escalofriante en todo el mundo en los últimos años. Según datos de la firma de seguridad expuestos por el ruso, el crecimiento de los ataques en América Latina se disparó en un 490% entre el 2009 y lo que va del 2011.

Y esto se explica de manera sencilla para los analistas: porque el “negocio” es increíblemente lucrativo para los ciberdelincuentes. El robo de información personal bancaria está de moda y se ha transformado en su profesión para muchos.

Brasil es el país que más ha explotado esta veta (principalmente a través de troyanos, a diferencia de las más comunes botnets del resto de la región), lo que hoy se le conoce como “Profesión Raúl”. Fabio Assolini, analista de malware de Kaspersky en el país, explica que la alta penetración de la banca online y el e-commerce hace a su población un blanco más que interesante. Tanto así que “un 36% de los troyanos bancarios que circulaban en el mundo el 2010, fueron hechos en Brasil. Y de ellos, un 95% son hechos con el objetivo de robar información bancaria”, asegura Assolini.

Y la principal causa de estos ataques está precisamente en el aparente desinterés y desconocimiento por el tema que presentan los propios usuarios. Así lo graficó Jorge Mieres, analista de malware de Kaspersky en Argentina: “El gran problema es que dos de cada tres sistemas operativos en la región son ilegales o pirata”. Pero más asombroso resulta el hecho de que aun cuando un 60,7% de las pymes latinoamericanas apunta a estos códigos maliciosos como el principal problema y que un 68% reconoce haber sufrido sus consecuencias, un 63% de los OS de estas empresas son piratas.

El silencioso camino hacia el despeñadero

El grupo de analistas coincide además en que el estilo de vida que llevamos hoy en día propicia aún más la existencia y propagación de estos ataques, algo que vislumbran que gatillará una mirada bastante apocalíptica de la situación.

Jorge Mieres.

Vicente Díaz, analista senior de malware de Kaspersky en España, expone una radiografía de cómo vivimos actualmente, donde cada vez es más frecuente que nos llevemos trabajo para la casa y eventualmente manejemos información delicada de la empresa en nuestros computadores del hogar, sin el nivel de seguridad requerido. “Esto está dando lugar a un nuevo tipo de ataque: los ataques dirigidos (o APT). Por supuesto, nuestro estilo de vida incorpora el uso masivo de redes sociales a nivel personal y profesional. La privacidad por desgracia, cada vez es menos ‘privada’”, explica Díaz.

“Buscan información de trabajadores de una compañía a través de redes sociales (como LinkedIn), después buscan información en redes sociales (como Facebook) y con estos perfiles se les envía un correo específico. Como el usuario se lleva el computador a la casa, no va a tener firewall ni los elementos necesarios de seguridad”, complementa el analista español. Así, los criminales logran acceder a los sistemas de administración y las bases de datos de una empresa completa.

Algo así le ocurrió a Sony y varias otras empresas en el último tiempo, según ahonda Jorge Mieres: “Siempre hay una brecha mínima de probabilidad. En el caso particular de Sony, en el primer ataque fue un código malicioso. Acá se infectó un equipo de una red que caló hasta el servidor o lo infectó directamente. Probablemente una de las máquinas que se infectó haya tenido privilegios de administración y ese código malicioso llegó a la base de datos y chao. Ese tipo de ataque contra otros entes de Sony siguió en otros países y luego se utilizaron otros tipos de ataque más automatizados”, describe.

Las APT a nivel gubernamental

Dmitry Bestuzhev.

Lo más inquietante de esta evolución de los crímenes cibernéticos es la hacia donde el ruso Bestuzhev visualiza y advierte que pueden arribar en nuestro propio continente. “El objetivo de los APT es extraer la información confidencial sensible, generalmente del carácter de la seguridad de una nación”, dice, aplanando el camino Bestuzhev. Luego, dispara su pálpito: “Yo creo que se producirán en un máximo de cinco años, pero puede incluso ser antes. Las naciones ajenas a Iberoamérica, pueden estar espiando la información que hay dentro, pero en cinco años lo que veremos es que las naciones iberoamericanas van a producir sus propios ataques y espiar a sus países vecinos. Y eso al ser comprobado, por supuesto que puede derivar en conflictos bilaterales.”, explica.

No obstante, Mieres discrepa en cierto sentido. Personifica este tipo de ataques con los bullados casos de Anonymous, LulzSec o Wikileaks, pero más allá de su peligrosidad y complejidad, sólo los califica como una moda, poniendo el foco en el desdén de los distintos gobiernos.

“En América Latina comenzaron a aparecer varios grupos que se proclaman ser ramificaciones de Anonymous o LulzSec, pero también deja en evidencia otra etapa de la seguridad de las entidades gubernamentales: que no tienen seguridad. El 80% tiene vulnerabilidades. Se los hemos dicho y no hacen nada”, sentencia el analista argentino, considerando un riesgo que más gente se acople a esa moda en ejemplos que vemos en la región, “como el apoyo a ciertas causas sociales, porque el abanico de posibilidades aumenta y eso es negativo”.

Para cerrar, Dmitry Bestuzhev recuerda que este tipo de ataques lo habían predicho hace dos años y ya explotaron, por lo que no habría que desestimar su vaticinio.

“La información hoy es lo que vale. Es como una especie de divisa que puedes utilizar para comprar algo, para comprometer, para mandar a tumbar alguien, etc. Estos ataques seguirán existiendo, pero serán mucho más sofisticados”, sostiene, y completa señalando que estamos en un momento de crisis de seguridad informática, pero no la máxima imaginable. “El apocalipsis cibernético no ha llegado aún; nunca va a haber un tope y esto seguirá creciendo”.

Como para irse a acostar tranquilos…

Eso es todo desde Cancún, Quintana Roo, México. ¡Salud! Adelante estudios…

Se puede participar hasta el próximo 1° de abril, independientemente del país en que residas, y siempre y cuando seas mayor de 14 años de edad. Las reglas y condiciones del concurso están explicadas (en inglés) en la Web que Microsoft ha lanzado para el BlueHat.

El dato: Además de los US$ 200.000 que componen el primer premio, BlueHat también reparte un segundo de 50 mil dólares y un tercero consistente en una suscripción al servicio de Microsoft “MSDN” valorada en 10.000 dólares. Los ganadores serán anunciados por la empresa en el Black Hat del próximo año.

Nada mal este concurso, ¿verdad? Así que si eres bueno con la seguridad informática y tienes ideas que quieras poner a concursar, ya sabes que a Microsoft le interesa tu consejo. ¡Adelante!

Link: Blue Hat Prize (Microsoft)

Anonymous ha lanzado un llamado a boicotear a PayPal, luego que se descubriera que el FBI estaba trabajando con información entregada por la empresa para realizar sus allanamientos a casas y arresto de sospechosos.

PayPal entregó al FBI una lista de alrededor de 1.000 direcciones IP de quienes atacaron a la compañía después de que ésta cancelara las donaciones a WikiLeaks. Esas direcciones son “las que enviaron la mayor cantidad de paquetes” en el ataque ocurrido en diciembre pasado.

Con esa lista, los agentes emitieron 40 órdenes de registro en enero, tras el ataque, contra sospechosos de haber participado en la operación contra PayPal, que hizo caer al servicio. El 19 de julio, el FBI allanó 35 casas más.

Según una declaración judicial publicada por el FBI, el organismo inició sus contactos con PayPal el 6 de diciembre, dos días después de que la empresa congeló las donaciones de WikiLeaks y el primer día en que comenzó a recibir ataques DDoS. Agentes del FBI comenzaron entonces a monitorear las actividades de Anonymous en internet, mientras PayPal recolectaba logs de tráfico, que entregó completos a la agencia en un flashdrive USB.

Ante la noticia, Anonymous publicó una carta, insistiendo en su descontento con las medidas tomadas por el FBI. Además llamó “a cualquiera que esté usando PayPal a cerrar sus cuentas inmediatamente y considerar alguna alternativa”.

“PayPal sigue reteniendo fondos de WikiLeaks, un faro de verdad en estos tiempos oscuros”, indica la carta, agregando que “nosotros, las personas, estamos disgustados con estas injusticias. No nos quedaremos sentados y dejaremos que nos atropelle ninguna corporación o gobierno. No estamos asustados de ustedes y eso es algo de lo que ustedes debieran asustarse. Nosostros no somos los terroristas aquí: ustedes lo son”.

Anonymous pide a todos quienes cierren sus cuentas que posteen imágenes en Twitter del cierre de la misma, y que echen a correr la voz. Se trata de un llamado algo inusual para Anonymous, que aparentemente intenta alejarse de los ataques DDoS por el momento, considerando las repercusiones que está teniendo.

Links:
- In ‘Anonymous’ raids, feds work from list of top 1,000 protesters (Wired)
- A message to PayPal, its customers and our friends (Pastebin)

Anonymous había abierto cuentas en ambas redes sociales promocionando su misión de “vengar” a WikiLeaks, después de que servicios como Amazon y EveryDNS, entre otros, les negaran el servicio a la organización por presiones políticas y que entidades bancarias le cerraran las cuentas.

Facebook fue el primero en cerrar la cuenta alegando que Anonymous contraviene los términos de uso del sitio, y luego fue Twitter (donde la cuenta era @anon_operation), después de que se filtraran números de tarjetas de crédito MasterCard en su cuenta. Twitter no dio declaraciones al respecto.

La cuenta de WikiLeaks, no parece afectada por todo este jaleo y sigue estando operativa en ambas redes sociales.

Es de esperar que Anonymous invente nuevas cuentas tan rápido como Facebook y Twitter las cierran (en la última pasaron a ser @anon_operationn y @anon_operations), así que ésta podría convertirse en una pelea bastante inútil.

Actualización: @anon_operations está funcionando como cuenta oficial. La agrupación dijo que Twitter les afirmó que la suspensión de su cuenta había sido un error.

No queda claro qué pasó con la revelación de información de tarjetas de crédito, pero Anonymous indicó por Twitter que la operación “no está en contra de los usuarios, sino de las corporaciones que no apoyan nuestro derecho a la libertad de expresión en la internet libre”.

Links:
- Twitter suspends account organizing support for WikiLeaks (CBS)
- Facebook and Twitter suspend Operation Payback accounts (Forbes)

De este modo, el sitio del banco suizo que le cerró la cuenta a Julian Assange fue derribado ayer, mientras que PayPal sufrió un ataque el fin de semana después de cerrar la cuenta donde WikiLeaks recibía sus donaciones.

PayPal comenzó a ser atacado en la tarde del sábado, lo que causó que su blog no estuviera disponible por unas 8 horas, explicó Sean-Paul Correl, investigador de amenazas de PandaLabs.

El grupo a cargo de los ataques se ha llamado a sí mismo Anonymous, y montó un sitio para dar a conocer sus planes de ataque, teniendo entre sus posibles futuras víctimas a Amazon, EveryDNS y el gobierno de Francia, que habría presionado a la operadora OVH a no darle servicio a WikiLeaks.

Sin embargo en un irónico giro del destino, el sitio de Anonymous está abajo por un ataque DDoS. Durante un tiempo al intentar entrar a él, se redirigía hacia el sitio del banco Post Finance, aunque ahora se ha montado un sitio temporal simplificado que explica la situación.

Anonymous había señalado en su web anteriormente que “encontraremos y atacaremos a aquellos que estén en contra de Wikileaks y apoyaremos a Wikileaks en todo lo que necesiten”.

Anonymous había estado también detrás de campañas en contra de la Asociación de la Industria Discográfica de Estados Unidos (RIAA) y la Asociación de la Industria Cinematográfica (MPAA) en contra de los esfuerzos de éstas por reforzar los derechos de autor.

“Aunque no tenemos una afiliación con WikiLeaks, peleamos por las mismas razones. Queremos la transparencia y luchamos contra la censura. Los intentos de silenciar a WikiLeaks son pasos que nos acercan a un mundo en el que no podemos decir lo que pensamos ni expresar nuestras opiniones ni ideas”, señaló la organización, explicando sus actuaciones.

Al mismo tiempo, la agrupación comenzó a hacer llamados a que otros se unan a la causa.

Como sea, esto ha generado ataques de un lado para otro en lo que son verdaderos combates online. Aunque los ataques DDoS existen desde hace muchos años, en este momento están siendo organizados por grupos como maneras de pelear por una causa. ¿Será esta la nueva forma de protestar o irse a huelga?

Links:
- AnonOps
- WikiLeaks furor spawns rival DDOS battles (ComputerWorld)
- WikiLeaks supporters aim cyberattacks at PayPal (Forbes)

Poco le duró a Wikileaks el amparo en los servidores de Amazon.

Y es que pasó lo que muchos temían: La presión política fue más fuerte que la voluntad de Amazon de acoger a Wikileaks.

La compañía estadounidense líder en comercio electrónico fue objeto de fuertes presiones por parte del Comité de Seguridad y Asuntos Gubernamentales del Senado de EEUU, por lo que ha decidido dejar sin el servicio de servidores a Wikileaks.

El presidente de dicho Comité del Senado estadounidense, el senador Joe Lieberman, se ha manifestado a favor de la decisión de Amazon, tal como reseña The Guardian:

Se trata de la decisión correcta y debería establecer un patrón para otras compañías como WikiLeaks que distribuyan material secuestrado ilegalmente. Hago un llamamiento a cualquier otra empresa u organización que proporcione hosting a Wikileaks a romper su relación con ellos”.

Amazon, por su parte ha justificado su decisión, argumentando simplemente que la Wikileaks ha violado sus términos de uso. Recordemos que la empresa de comercio electrónico no revisa o pre-aprueba el contenido que se coloca en sus servidores, pero en su contrato de uso incluye una cláusula en la que prohíben el alojamiento de datos para “actividades ilegales”… Aunque de momento no se ha confirmado que las actividades de Wikileaks contraríen alguna ley.

Los afectados no se han quedado callados, y han manifestado a través de Twitter (@wikileaks) su descontento con la decisión de la empresa estadounidense:

Si Amazon está tan incómoda con la Primera Enmienda (de la Constitución de EEUU que defiende la libertad de prensa, expresión y religión, así como el derecho de reunión) deberían de salirse del negocio de venta de libros”.

También desde el Twitter, @wikileaks anunciaba que invertiría el dinero que le pagaba a Amazon en Europa. Se conoció que han mudado su polémica data a servidores suecos… Veamos si los tentáculos de la diplomacia estadounidense son capaces de llegar a estos territorios europeos y nos toca presenciar de nuevo como Wikileaks sale en busca de nueva posada.

Mientras tanto, ¿qué creen que pasará en el siguiente episodio de la que bien podría ser la serie “Wikileaks contra el Imperio Yanqui“?

Links:
- WikiLeaks website pulled by Amazon after US political pressure (The Guardian)

Girish Kumar, director general de Aiplex Software, dijo que está contratado para llevar acabo ataque a a sitios de alojamiento de películas piratas que no responden a los avisos de infracción de derechos de autor que les envía la industria cinematográfica.

Kumar dijo que el 95% de los sitios cooperan con los avisos, pero algunos – sobre todo los lugares que albergan torrents y los utilizan principalmente para contenidos ilegales – no lo hacen.

Lo que hacemos es ver todos los enlaces en la red, ubicamos el servidor y enviamos  una notificación de infracción de derechos de autor. Si no quitan los enlaces, enviamos un segundo aviso para pedir su eliminación, pero sino resulta entonces lanzamos un ataque DDoS. Básicamente inundamos el sitio con millones y millones de solicitudes y lo tiramos (…) A veces, tenemos que ir un poco más allá y atacar el sitio y destruir los datos para evitar que la película circule más.

Kumar dijo que la mayoría de sus clientes eran estudios de Bollywood, pero que también trabajó para Fox Star Studios, una empresa conjunta entre Fox y TV Star.

Link: Film industry hires cyber hitmen to take down internet pirates (Smh.com.au)

A mediados de la semana pasada Microsoft anunciaba que había sido descubierta una nueva vulnerabilidad en todas las versiones de Internet Explorer, inclusive el IE8 Beta 2, mediante la cual un atacante puede acceder al equipo con los mismos permisos del usuario local que está actualmente logueado en el sistema. Dicha vulnerabilidad puede ser ejecutada exitosamente sin necesidad que el usuario intervenga, simplemente basta con visitar un sitio infectado.

En un principio los reportes de ataques no fueron significativos, sin embargo durante el fin de semana este número se incrementó en un 50% y la tendencia sigue el alza, principalmente debido a que sitios que eran confiables fueron modificados maliciosamente por hackers para incluir en ellos el código que permite explotar esta falla. Uno de los principales sitios afectados, aunque ya corregido, fue un popular buscador de Taiwan (look.tw), sin embargo aún hay más de 6000 sitios que contienen dicho código malicioso, en su mayoría aquellos que brindan contenido pornográfico.

Un informe de Microsoft indica que aproximadamente el 0.2% de los usuarios de Internet Explorer ha navegado por alguno de estos sitios maliciosos, cifra más que importante si tenemos en cuenta que cerca del 70% del mercado de navegadores es dominado por el browser de Microsoft.

Aún no se ha confirmado cuando estará disponible el parche para corregir este bug, por ahora la única protección que tienen los usuarios de IE es seguir los consejos de seguridad brindados por Microsoft para limitar el riesgo de infección.

Link: Microsoft sees ‘huge increase’ in IE attacks (Computer World)

Siempre he dicho que lo que hacemos en Internet, es un reflejo de nuestra vida real… y vice versa.

Los conflictos bélicos no se escapan de este pensamiento, ya que tras la reciente invasión de Rusia a la República de Georgia, el conflicto se ve reflejado en ataques desde servidores Rusos a sitios relacionados con el país eurasiático… y vice versa.

A pesar de que el Presidente de Rusia, Dmitri Medvedev ordenara hoy el cese de fuego contra Georgia, los Hackers Rusos continúan con el conflicto virtual mediante ataques DoS al servidor oficial de la presidencia de Georgia que se encuentra en los EEUU.

Según la compañía que aloja este sitio Web, Tulip Systems Inc, la relación de visitas hostiles contra visitas legítimas es de 5.000:1. O sea, cinco mil de cada visita al sitio son paquetes falsos que saturan los puertos de comunicación del servidor haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, ya que no de abasto a la cantidad de usuarios “falsos”.

Por otro lado, la fundación Shadowserver, entidad que cataloga y analiza ataques virtuales en Internet,  ha detectado miles de Botnets atacando sitios específicos tanto Rusos como Georgianos.

Tal es el caso del web oficial de Gary Kasparov, quién no sólo es perseguido por penes voladores, sino también por Hackers tratando de desmantelar su presencia en Internet.

Link:  Cyberattacks knock out Georgia’s Internet presence (ComputerWorld)